Europäischer Datenschutz-Ausschuss: Aufbau und Aufgaben
14.04.2021
[IITR – 14.04.21] Die Datenschutz-Grundverordnung hat mit dem Europäischen Datenschutz-Ausschuss ein auch europarechtlich neues Gremium mit der Zielsetzung geschaffen, die Arbeit der Datenschutz-Aufsichtsbehörden in der Europäischen Union zu harmonisieren. Wir werfen einen Blick auf die Aufgaben und den Aufbau dieser neuen Institution.
Europäischer Datenschutz-Ausschuss: Einrichtung der Union mit eigener Rechtspersönlichkeit
Artikel 68 DSGVO hat den Europäischen Datenschutz-Ausschuss als Einrichtung der Union mit eigener Rechtspersönlichkeit eingerichtet.
Der Ausschuss besteht aus dem Leiter einer Aufsichtsbehörde jedes Mitgliedstaats und dem (nur teilweise stimmberechtigten) Europäischen Datenschutzbeauftragten oder ihren jeweiligen Vertretern. Daneben nehmen (ohne Stimmrecht) die Kommission sowie (verfügt durch nachträglichen Beschluss) auch die Aufsichtsbehörden der EFTA-Staaten an den Sitzungen teil (ebenfalls ohne Stimmrecht).
Europäischer Datenschutz-Ausschuss: Unabhängigkeit trotz Mehrheitsvotum?
In der Schaffung der DSGVO hatte es im „Trilog-Verfahren“ (Verhandlungen zwischen Europäischem Parlament, Europäischer Kommission und Europäischen Rat) intensive Verhandlungen über die rechtliche Positionierung des Europäischen Datenschutz-Ausschusses gegeben. Der initialen Forderung der Europäischen Kommission, den Europäischen Datenschutz-Ausschuss direkt der Kommission anzugliedern, war vor allem der Europäische Rat mit dem Argument entgegengetreten, dass dies die vom EuGH geforderte Unabhängigkeit nicht gewährleisten könne.
So stellt Artikel 69 DSGVO explizit klar:
„(1) Der Ausschuss handelt bei der Erfüllung seiner Aufgaben oder in Ausübung seiner Befugnisse gemäß den Artikeln 70 und 71 unabhängig. (2) Unbeschadet der Ersuchen der Kommission gemäß Artikel 70 Absätze 1 und 2 ersucht der Ausschuss bei der Erfüllung seiner Aufgaben oder in Ausübung seiner Befugnisse weder um Weisung noch nimmt er Weisungen entgegen.“
Ein – auch im Licht der vom EuGH geforderten Unabhängigkeit der Datenschutz-Aufsichtsbehörden – zentrales Novum des Europäischen Datenschutz-Ausschuss ist die Möglichkeit, dass dieser im Mehrheitswege entscheidet (Artikel 72 DSGVO): „Sofern in dieser Verordnung nichts anderes bestimmt ist, fasst der Ausschuss seine Beschlüsse mit einfacher Mehrheit seiner Mitglieder.“
Das heißt im Umkehrschluss, dass einzelne Datenschutz-Aufsichtsbehörden sich Mehrheitsbeschlüssen im Zweifel – trotz ihrer Unabhängigkeit – beugen müssten. Dies war in den DSGVO Verhandlungen für mit der EuGH-Rechtsprechung kompatibel erachtet worden. Es ist nicht auszuschließen, dass im Streitfall der EuGH hierzu nochmal angehört werden könnte.
Aufgaben des Europäischen Datenschutz-Ausschuss
Die Aufgaben des Europäischen Datenschutz-Ausschuss sind im Detail in Artikel 70 DSGVO benannt. Als wichtigste Instrumente bezeichnet der Europäische Datenschutz-Ausschuss selbst auf seiner Webseite:
Operative Arbeit: Rückgriff auf Europäischen Datenschutzbeauftragten
Der Europäische Datenschutz-Ausschuss greift für seine Arbeit operativ nach Artikel 75 DSGVO auf das Büro des Europäischen Datenschutzbeauftragten zurück. Der Europäische Datenschutz-Ausschuss und der Europäische Datenschutzbeauftragte haben in einer nach Artikel 74 (4) DSGVO vorgesehenen Vereinbarung eine gemeinsame Abstimmungsweise (PDF) im Hinblick auf eine mögliche Interessenskollision der Beschäftigten des Europäischen Datenschutzbeauftragten festgelegt.
Vorsitz des Europäischen Datenschutz-Ausschuss derzeit in Österreich
Zur ersten Vorsitzenden nach Artikel 73 DSGVO wurde Frau Andrea Jelinek, Leiterin der österreichischen Datenschutzbehörde, gewählt. Ihr und den beiden Stellvertretern Herrn Ventsislav Karadjov von der bulgarischen Datenschutz-Aufsicht und Herrn Aleid Wolfsen von der niederländischen Aufsichtsbehörde obliegen die in Artikel 74 DSGVO genannten Aufgaben (insb. die Einberufung der Sitzungen des Ausschusses und die Erstellung der Tagesordnungen).
Sonderfall Deutschland: Stimmrecht liegt beim Bundesbeauftragten für den Datenschutz und die Informationsfreiheit; Landesbehörden formal derzeit nicht vertreten
Sind in einem Mitgliedstaat (so zum Beispiel Deutschland) mehrere Aufsichtsbehörden für die DSGVO zuständig, besagt Artikel 68 Abs. 5 DSGVO:
„Ist in einem Mitgliedstaat mehr als eine Aufsichtsbehörde für die Überwachung der Anwendung der nach Maßgabe dieser Verordnung erlassenen Vorschriften zuständig, so wird im Einklang mit den Rechtsvorschriften dieses Mitgliedstaats ein gemeinsamer Vertreter benannt.“
Entsprechend wurde in § 17 Abs. 1 BDSG geregelt:
„Gemeinsamer Vertreter im Europäischen Datenschutzausschuss und zentrale Anlaufstelle ist die oder der Bundesbeauftragte (gemeinsamer Vertreter). Als Stellvertreterin oder Stellvertreter des gemeinsamen Vertreters wählt der Bundesrat eine Leiterin oder einen Leiter der Aufsichtsbehörde eines Landes (Stellvertreter). Die Wahl erfolgt für fünf Jahre. Mit dem Ausscheiden aus dem Amt als Leiterin oder Leiter der Aufsichtsbehörde eines Landes endet zugleich die Funktion als Stellvertreter. Wiederwahl ist zulässig.“
In Deutschland hat bislang – auch rund drei Jahre nach Geltung der DSGVO – der Bundesrat (trotz immer wieder vorgetragener Kritik der Datenschutzaufsichtsbehörden der Länder) noch keine Stellvertretung aus dem Kreis der Landesaufsichtsbehörden gewählt. Damit ist derzeit der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit faktisch der alleinige Vertreter der deutschen Aufsichtsbehörden im Europäischen Datenschutzausschuss. Die Einbindung der Landesaufsichtsbehörden findet allerdings informell auf Arbeitsebene statt.
§ 18 BDSG sieht einen Mechanismus vor, über den bei Abstimmungsfragen auf europäischer Ebene ein gemeinsames Verständnis zwischen den deutschen Aufsichtsbehörden festgelegt werden soll. In Ermangelung eines gewählten Vertreters der Landes-Aufsichtsbehörden dürften die dort genannten Regelungen allerdings ins Leere laufen, so dass im Zweifel der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit derzeit alleine über das Stimmrecht verfügen dürfte.
Fazit: zentrale Bedeutung des Europäischen Datenschutz-Ausschuss; keine explizite Erwähnung in den EU-Verträgen
Durch die Möglichkeit, datenschutzrechtliche Fragen in für die Datenschutz-Aufsichtsbehörden in der Europäischen Union verbindlicher Weise mit Mehrheitsvotum zu entscheiden, hat der Europäische Datenschutz-Ausschuss eine zentrale Bedeutung für die Auslegung von Datenschutz-Vorgaben (in der Wirkung auch über die Europäische Union hinaus).
Da der Ausschuss nachträglich durch die DSGVO geschaffen wurde findet er keine explizite Erwähnung in den Verträgen, die der Europäischen Union zu Grunde liegen. Wir werden im nächsten Beitrag untersuchen welche rechtliche Möglichkeiten bestehen, Entscheidungen des Europäischen Datenschutz-Ausschuss gerichtlich überprüfen zu lassen.